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(54) Precede de synchronisation de deux memoires de masse repartles 



(57) Proc6d6 de synchronisation de la m^moire de 
masse d'une station de secours par rapport k la m6moi- 
re de masse d'une station active apr6s d^faillance de 
ladite station de secours, caract6ris6 en ce que, k cha- 
que modification d'une donn6e, ladite station active m6- 
morise une reference de ladite donn6e dans une m6- 



moire tampon, en ce qu'k la reception de la notification 
d'6criture de ladite donn6e sur la memoire de masse de 
ladite station de secours, ladite r6f6rence est suppri- 
m6e, et en ce que pendant la phase de synchronisation, 
seules les donn^es r6f6renc6es dans ladite memoire 
tampon sont transmises k ladite station de secours. 
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Description 

La pr^sente invention conceme un procddd de sd* 
curisation d'un serveurde fichiers dans un syst6nie dis- 
iribue de traitement de 1' information. Ce pfOced6 peut 
s'appliquer, par exempte. aux reseaux de telecommuni- 
cation, dont rop6rabilit6 doit Stre assur6e de iagon per- 
manente. 

La fonction de sen/eur de fichiers dans un environ- 
nement distribu^ consiste k mettre ^ la disposition des 
differentes stations du reseau, des donnees contenues 
dans une m6moire de masse de type disque dur. 

Afin de prendre en compte les contraintes de s6cu- 
risation du serveur de fichler, on met habituellement en 
place des m^canismes de redondance. La solution ha- 
bituelle consiste h dupliquer le sen/ice de sen/eur de fi- 
chiers sur deux stations distinctes. A un moment donnd, 
une des deux stations est active, c'est-^-dire qu'elle of- 
f re eff ectivement !es services de serveur de fichiers. tan- 
dis que I'autre est dite de secours (ou stand-by). En cas 
de d6faillance de la station active, il y a basculement et 
la station de secours devient station active pour sup- 
pl6er la station d6faillante. Lorsque cette derni6re red6- 
marre. elle le fait en tant que station de secours. 

II est essentiel que les deux stations possddent, k 
tout moment, des donn6es identiques de sorte qu'en 
cas de defaillance de la station active ou de sa memoire 
de masse, le basculement vers la station de secours se 
fasse de fa?on transparente pour I'ensemble de I'envi- 
ronnement et notamment pour les applications utilisant 
le serveur de fichiers. 

Une premiere approche pour r6soudre ce probldme 
est d'avoir une duplication de type disques miroirs (mir- 
roring en anglais) entre les deux m6moires de masse 
des deux stations. Un tel m6canisme consiste k g6rer 
au niveau du materiel (pratiquement, au niveau de la 
carte contrdleur des m6moires de masse) la duplication 
des mdmoires de masse. Chaque 6criture est alors du- 
pliqu6e sur les deux m6moires de masse, de sorte qu'en 
cas de defaillance de Tune des deux mdmoires de mas- 
se, il reste possible d'avoir acc6s aux donn6es identi- 
ques stock6es dans I'autre m6moire de masse. 

Cette approche peut toutefois s'av6rer insuffisante 
dans certaines configurations, notamment lorsque les 
deux stations sont distantes. Un mdcanisme de type dis- 
ques miroirs n'est en effet plus possible du fait de I'^toi- 
gnement des m6 moires de masse. 

Dans une telle configuration, i) est ndcessaire de 
mettre en oeuvre la duplication des donndes par I'inter- 
mddtaire du rdseau reliant les differentes stations entre 
elles. Chaque fois que la station active ^crlt des don- 
nees dans sa memoire de masse, elle envoie k travers 
le r^seau les donnees en question pour que la station 
de secours puisse mettre k jour sa propre mdmoire de 
masse. 

En cas de defaillance d'une des deux stations, les 
donnees ne sont plus modifiees que sur la station active. 
On a ainsi, peu k peu. divergence des contenues des 



deux memoires de masse. Lors du red6marrage de la 
station d6faillante (en tant que station de secours), il est 
alors necessaire de remettre k jour (c'est-^-dire syn- 
chroniser) les donnees contenues dans sa propre m6- 
5 moire de masse par rapport ^ cetles de la station active. 

Les solutions existantes consistent k recopier, de la 
station active vers ta station de secours, la total it e du 
contenu des mennoires de masse ou, tout au nooins, des 
partitions de la memoire de masse contenant les don- 
10 nees k securiser 

Une telle solution possede neanmoins deux incon- 
v6nients majeurs : 

«» La transmission du contenu d'une memoire de mas- 
15 se ou d'une ou plusieurs partitions de celle-ci en- 
gendre un trafic supplementaire sur le reseau qui 
peut etre considerable et penalisant pour les per- 
formances globales du systeme. 
• Pendant toute la dur6e de la synchronisation des 
20 memoires de masse, la station de secours n'est pas 
k mSme de remplir sa fonction, c'est-^-dire de pou- 
voir suppieer la station active en cas de defaillance 
de celle-ci. 

25 Le but de la presente invention est de proposer une 
methode de synchronisation des memoires de masse 
exempte de ces deux inconvenients. 

Pour cela, le procede selon I'invention se 
caracterise : 

30 

o en ce qu'^ chaque modification d'une donnee, la 
station active memorise une reference de cette 
donnee dans une m6moire tampon, 
« en ce qu'k la reception de la notification d'ecriture 
35 de la donnee sur la memoire de masse de la station 
de secours, la reference est supprimee, 
« et en ce qu'apres le redemarrage de la station de 
secours, seules les donnees ref6rencees dans la 
memoire tampon sont transmises k la station de se- 
40 cours, et, 

o les references contenues dans la memoire tampon 
de ladite station de secours sont transmises k la 
station active qui les additionne au contenu de sa 
propre memoire tampon. 

45 

Les differents avantages et caracteristiques de I'in- 
vention apparaitront de fa^on plus claire dans la des- 
cription qui va suivre en reference aux figures an- 
nexees. 

50 La figure 1 indique un schema general du systdme. 
La figure 2 illustre un exemple de mise en oeuvre 
dans lequel la memoire de masse est drvisee en blocs 
de donnees et la memoire tampon mets en correspon- 
dance un identifiant de chacun de ces blocs avec une 
55 valeur booieenne indiquant si le bloc a ete modifie ou 
non. 

^architecture g6nerale du systeme se compose 
d'au moins deux stations (1 a et 1 b) comportant chacune 
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une mdmotre de masse (respectivement 2a et 2b) et une 
m6nnoire tampon (respectivement 3a et 3b). Les sta- 
tions sont \i6es entre elles par une connexion (4) clas- 
sique, par exemple de type Ethernet. 

Prdferentiellement, la m6moire tampon est une m6- s 
moire non volatile, par exemple de type NVRAM (Non 
Volatile Random Access Memory). Une telle m6moire 
permet en effet de palier efficacement les d^ficiences 
de type panne d'alimentation, de la station active. 

Cependant. te proc6d6selon I'lnvention est ^m§me 
de fonctionner avec une memoire volatile, en procedant 
k une synchronisation totale (i.e. k une recopie de {'en- 
semble de la m6moire de masse s6curis6e) ^ la suite 
de chaque panne d'allmentation de la station active. 
Etant donn6 que ce type de pannes est g6n6ra!ement 
exceptionnel, une telle mise en oeuvre n'est pas r6elle- 
ment p6nalisante. 

Dans la description qui va suivre. on se place dans 
la configuration ou la station r6f6renc6e la est active 
tandis que la station r6f6renc6e lb est la station de se- 
cours. 

A chaque fois que la station active (la) modifie une 
donn^e dans sa memoire de masse (2a). elle envoie la 
donnee par le r^seau 4 pour que la station de secours 
(lb) modifie de la mdme fa^on sa propre m6moire de 
masse (2b) et elle memorise dans sa m6moire tampon 
(3a) une reference indiquant quelle donnee est en cours 
de modification. Lorsque la station de secours (lb) a ef- 
fectivement modifi6 la donn6e sur sa m6moire de mas- 
se (2b), elle transmet par le r^seau 4, une notification 
d'^criture. A la reception de cette notification d'^criture, 
la station active (la) efface de sa m6moire tampon (3a) 
la rdf^rence k la donnee modifide. 

En cas de d^f alliance de la station de secours (1 b). 
les rdfdrences k des donn^es modifides s'accumulent 
puisque la station de secours n'est plus k mdme de re- 
cevoir les donn6es k modifier et a fortiori 6e transmettre 
des notifications d'6criture. A son reddmarrage, la sta- 
tion active (1a) transmet par le rdseau 4, 1'ensemble des 
donn6es correspondant aux r6f6rences m6moris6es 
dans la memoire tampon (3a). Le fonctlonnement nor- 
mal peut alors reprendre et la station de secours (1b) 
transmet une notification d'6criture pour chacune de ces 
donn6es de sorte que la station active (la) puisse sup- 
primer les r6f6rences correspondantes de sa m6moire 
tampon (3a). 

En cas de ddfaillance de la station active, il y a bas- 
culement et la station de secours (1b) devient la nou- 
velle station active. Comme dans la situation pr6c6den- 
te. les rdf^rences k des donndes modlfi^es s'accumu- 
lent dans la memoire tampon {3b) jusqu'au reddmarrage 
en tant que station de secours de I'ancienne station ac- 
tive. 

II est ^ noter que cette derni^re ayant station 
active, elle peut posseder des r^f^rences k don n des 
modifi6es dans sa memoire tampon (3a) : il s'agit des 
donndes en cours de modification au moment de la d6- 
faillance (les donn^es ont transmises vers I'autre 



station mais la notification d'6criture n'a pas et6 re9ue). 
Oans ce cas, elle transmet k destination de la nouvelle 
station active (lb), le conlenu de sa m6moire tampon 
(3a) afin que cette nouvelle station active additionne ce 
contenu k celui de sa propre m6moire tampon (3b) qui 
contient bien ainsi I'ensemble des donndes potentieile- 
ment diff6rentes entre les deux m6moires de masse (2a 
et 2b). 

Lb figure 2 illustre un exemple de structure de don- 
n6es pour m6moriser dans la memoire tampon, les re- 
ferences aux donnees modifiees 

Dans cette mises en oeuvre, la memoire de masse 
(M) est divisde en plusieurs blocs de donndes (B). A 
chacun de ces blocs (B), correspond dans la memoire 
tampon (T) un bit, c'est-^-dire un 6I6ment binaire pre- 
nant, une valeur particuli^re si une donnde a 6te modi- 
fide dans le bloc correspondant, et la valeur logique- 
ment opposde si le bloc n'a pas 6X6 modifld. On a ainsi 
dans la mdmoire tampon, une cartographie du contenu 
de la mdmoire de masse. 

Chaque modification d'une donnde entrain e la mo- 
dification de I'dldment binaire correspondant au bloc 
contenant cette donnde. Get 6l6ment binaire est mis k 
une valeur parttculidre. par exemple 1 . Lorsque la sta- 
tion active regoit la notification d'ecriture de la part de la 
station de secours, cet 6l6ment binaire est mis k la va- 
leur opposde, c'est-^-dire 0 selon notre exemple. 

Pendant la synchronisation, la station active trans- 
met le contenu des blocs qui ont 6\6 modifies et pour 
lesquels la notification d'dcriture n'a pas 6\6 regu, c'est- 
^-dire ceux pour lesquels I'dlement binaire correspon- 
dant est k la valeur particuliere (1 selon I'exemple). 

Le mdcanisme d'addition des mdmoires tampons 
d6crit pr6c6demment s'impldmente ais6ment avec une 
telle structure de donndes puisqu'il suffit d'effectuer une 
addition binaire sous la forme d'un ou logique, bit par bit 
entre les deux contenus. 



40 Revendlcations 

1 . Proc6d6 de synchronisation de la mdmoire de mas- 
se d'une station de secours par rapport k la memoi- 
re de masse d'une station active aprds ddfaillance 
45 de ladite station de secours, chacune desdites sta- 
tions possddant une mdmoire tampon, caract6ris6 
en ce que, ei chaque modification d'une donnde, la- 
dite station active memorise une reference de ladite 
donnde dans sa mdmoire tampon, en ce qu'^ la rd- 
so caption de la notification d*6criture de ladite donnde 
sur la mdmoire de masse de ladite station de se- 
cours, ladite rdfdrence est supprimde, et en ce 
qu'au reddmarrage de ladite station de secours, 
seules les donndes rdf drencdes dans ladite mdmoi- 
s$ re tampon sont transmises k ladite station de se- 
cours, et les r6f 6rences contenues dans la mdmoire 
tampon de ladite station de secours sont transmi- 
ses k ladite station active qui les additionne au con- 
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tenu de sa propre m6moire tampon. 

2. Proced6 sebn la revendication pr6c6dente, carac- 
terise en ce que ladite memoire tampon est une m6- 
moire non volatile, par exemple de type NVRAM. s 

3. Precede selon I'une des revendications pr6ceden- 
tes, dans lequel ladite mdmoire de masse est divlsd 
en blocs, caractdrise en ce que ladite mdmolre tam- 
pon contient une cartographie de ladite m6moire de io 
masse dans laquelle on fait correspondre un ele- 
ment binaire k chacun desdits blocs, en ce que la 
memorisation de ladite r6f6rence consiste k mettre 

k une valeur particu!i6re (par exemple 1) l'6l6ment 
binaire correspond au bloc contenant ladite don- '5 
n^e, en ce que la suppression de ladite reference 
consiste k remettre ledit Element binaire k la valeur 
oppos6 (par exemple 0) et en ce qu'au r6d6marrage 
de ladite station de secours, seul le contenu des 
blocs dont r6I6ment binaire correspondant est k la- 20 
dite vateur particuli^re, est transmis k ladite station 
de secours. 
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